廣東省公安廳關于計算機信息系統安全保護的實施辦法

（廣(guang)東省(sheng)公安廳(ting)2008年9月27日(ri)以粵公通字(zi)〔2008〕228號發布(bu) 自(zi)2008年12月1日(ri)起施行(xing)）

第一章 總則

第一條 為保護計(ji)算機信(xin)息(xi)系統(tong)安(an)全，促進信(xin)息(xi)化建(jian)設的(de)健康(kang)發展，貫徹(che)落實《廣東省計(ji)算機信(xin)息(xi)系統(tong)安(an)全保護條(tiao)例》，根據有(you)關法律法規，制(zhi)定本辦法。

第二條 本辦(ban)法適(shi)用于廣東(dong)省行政區域內(nei)計算機信息(xi)系(xi)統的安全保護。

第三條 縣級以上人民政府公安(an)機(ji)關公共(gong)信(xin)息(xi)網絡安(an)全(quan)監察部(bu)門(men)具體負責本行政區域(yu)內計算(suan)機(ji)信(xin)息(xi)系(xi)統(tong)的(de)安(an)全(quan)保護監管(guan)工作。

第二章 安全監督

第四條 公(gong)安(an)機關公(gong)共信息網(wang)絡安(an)全監察部門對計(ji)算機信息系統安(an)全保(bao)護(hu)工作行使下列職責：

（一）監督(du)、檢(jian)查、指導(dao)計算機信(xin)息(xi)系統安(an)全保護(hu)工作(zuo)；

（二）組織開展計算機信息系統安全等級保護；

（三）查處計算機違法(fa)犯罪案件；

（四）組(zu)織處置重大(da)計算機信息系統安全事故和事件；

（五(wu)）負責計算機(ji)病毒和其他有害數據(ju)防治(zhi)管理；

（六(liu)）負(fu)責(ze)計算機信息系統安全服務的監督指(zhi)導；

（七）負責計算機信(xin)息(xi)系統安全專用產品的監(jian)督管理(li)；

（八(ba)）負責計算機信(xin)息系統安全培訓管理；

（九）法(fa)律、法(fa)規(gui)和(he)規(gui)章規(gui)定的(de)其他職(zhi)責。

第五條 公(gong)安(an)(an)機關公(gong)共信息網絡(luo)安(an)(an)全(quan)監(jian)察部門應當對計算機信息系統(tong)落實(shi)實(shi)體安(an)(an)全(quan)、運(yun)行安(an)(an)全(quan)、信息安(an)(an)全(quan)和內容(rong)安(an)(an)全(quan)措(cuo)施(shi)的(de)情況進(jin)行檢查。

對(dui)第(di)三級(ji)計算機信(xin)息系統(tong)每(mei)年至少檢(jian)查一(yi)次，對(dui)第(di)四(si)級(ji)計算機信(xin)息系統(tong)每(mei)半(ban)年至少檢(jian)查一(yi)次。對(dui)第(di)五級(ji)計算機信(xin)息系統(tong)，應當會同國家指定(ding)的專門部門進(jin)行檢(jian)查。

對其他計算(suan)機信息系(xi)統應(ying)當不定期開展(zhan)檢查。

第六條 公安(an)機關公共信息網絡安(an)全監察部門(men)發現(xian)計算機信息系統的(de)安(an)全保護等級和安(an)全措施不符合有(you)關規定和技術標準，或者存在安(an)全隱患的(de)，應當通知運營(ying)、使用(yong)單位進行(xing)整(zheng)改。

第七條 公安(an)機關公共信(xin)息(xi)網絡(luo)安(an)全(quan)監察部門應當向公眾提供報警求(qiu)助渠道，提供計算機信(xin)息(xi)系(xi)統安(an)全(quan)指導，發布安(an)全(quan)動態，開展(zhan)安(an)全(quan)宣傳。

第三章 安全保護責任

第八條 單位和個人應(ying)當(dang)依照有關法(fa)規、規章和標準(zhun)，對其所有、使用和管(guan)理的計算機信息系統承(cheng)擔相(xiang)應(ying)的安全保(bao)護責任(ren)。

第九條 第(di)二級以上計算機信(xin)息系統(tong)的運營、使用單(dan)位應當建立安全保護組織，并報所(suo)在地地級以上市(shi)人(ren)民政府(fu)公安機關公共(gong)信(xin)息網(wang)絡安全監察部門備案。

第十條 安(an)(an)(an)(an)全(quan)保護組織(zhi)保障本單位計算(suan)機信(xin)(xin)息(xi)(xi)系統(tong)(tong)的安(an)(an)(an)(an)全(quan)運(yun)行(xing)，組織(zhi)本單位計算(suan)機信(xin)(xin)息(xi)(xi)系統(tong)(tong)的有害(hai)信(xin)(xin)息(xi)(xi)防(fang)治工作，組織(zhi)開展本單位計算(suan)機信(xin)(xin)息(xi)(xi)系統(tong)(tong)安(an)(an)(an)(an)全(quan)教育和(he)(he)(he)培訓，向公安(an)(an)(an)(an)機關(guan)公共信(xin)(xin)息(xi)(xi)網絡(luo)安(an)(an)(an)(an)全(quan)監察部門報告本單位計算(suan)機信(xin)(xin)息(xi)(xi)系統(tong)(tong)運(yun)行(xing)、服務(wu)和(he)(he)(he)安(an)(an)(an)(an)全(quan)等情況，及(ji)時協助公安(an)(an)(an)(an)機關(guan)公共信(xin)(xin)息(xi)(xi)網絡(luo)安(an)(an)(an)(an)全(quan)監察部門查處違法犯罪和(he)(he)(he)處置(zhi)突發事件。

第十一條 互聯單(dan)位(wei)、互聯網(wang)接入(ru)服(fu)務單(dan)位(wei)、互聯網(wang)數據(ju)中心應當對接入(ru)本(ben)網(wang)絡(luo)的用戶進行(xing)資格審查，確(que)認符(fu)合國家和省(sheng)有關(guan)規(gui)定后方可為其(qi)提供服(fu)務。

互聯網接入(ru)服務、信息服務單位(wei)以及互聯網數據中心應當(dang)向用戶宣傳相(xiang)關(guan)法律(lv)法規，提供必要的安全保護措施。

第十二條 個人主頁(ye)、博客、聊天室、點對點服務等互聯網信息服務的(de)提供單(dan)位和使用(yong)者應當依照國家和省有關規定，落實相(xiang)應的(de)安全措(cuo)施。

第十三條 網(wang)吧、圖書館、學(xue)校、賓館等提供互聯(lian)網(wang)上網(wang)服務的場所應當安裝符合(he)國家規定的安全(quan)管理(li)系統。

第十四條 互聯(lian)單(dan)(dan)位、互聯(lian)網接入服務單(dan)(dan)位以(yi)(yi)及互聯(lian)網數據中心應當每月將接入本網絡的用(yong)戶情(qing)況(kuang)報(bao)地級以(yi)(yi)上(shang)市(shi)公安(an)機關(guan)公共信息網絡安(an)全監察(cha)部門(men)備案。

第十五條 計算(suan)機信息(xi)系統運營(ying)、使用(yong)單位應當接受公(gong)安(an)機關(guan)公(gong)共信息(xi)網絡(luo)(luo)安(an)全監(jian)(jian)察部門的監(jian)(jian)督(du)、檢查、指導，如實提供(gong)安(an)全保護有關(guan)信息(xi)、資料及數據文件(jian)，不得變相拒(ju)絕、拖延、阻礙公(gong)安(an)機關(guan)公(gong)共信息(xi)網絡(luo)(luo)安(an)全監(jian)(jian)察部門依法(fa)執行(xing)公(gong)務。

第四章 安全專用產品和安全服務

第十六條 安全專用(yong)產品(pin)必須取得公(gong)安部(bu)頒發的(de)銷(xiao)售許(xu)可證方可銷(xiao)售。

第十七條 生(sheng)產(chan)、銷售或(huo)者提(ti)供含有計(ji)(ji)算機信息網絡(luo)遠程(cheng)控制、密碼猜解、安(an)全(quan)（漏(lou)洞）檢測、信息群發技術(shu)的產(chan)品和工具的，應當在領取營業執(zhi)照后30日內（沒有營業執(zhi)照的，自開(kai)辦(ban)之日起30日內）向單位所(suo)在地地級以上市人民政(zheng)府公安(an)機關(guan)公共信息網絡(luo)安(an)全(quan)監察部門備案，填(tian)寫《廣(guang)東省計(ji)(ji)算機信息網絡(luo)安(an)全(quan)特種(zhong)技術(shu)備案表》，并提(ti)交(jiao)如下資料：

（一）單位簡況；

（二）營業執照（或其他有效證(zheng)明）復印件；

（三）研(yan)發和(he)服務管理制度；

（四）主要經營管理人員、技術(shu)人員和(he)服務人員有(you)效證件復(fu)印件；

（五(wu)）主(zhu)要產品情(qing)況(kuang)。

第十八條 安全保護等(deng)級為第(di)三級以上的計算機信息系統應當選用(yong)(yong)符合下(xia)列條件的安全專用(yong)(yong)產(chan)品：

（一）產品研制、生產單位是(shi)由中國公民、法人投資或(huo)者國家投資或(huo)者控股(gu)的，在中華人民共(gong)和國境內具有獨立的法人資格；

（二）產(chan)品的(de)核(he)心(xin)技術(shu)、關鍵部件(jian)具有(you)我國自主(zhu)知(zhi)識(shi)產(chan)權；

（三(san)）產品研(yan)制、生產單位及(ji)其主(zhu)要業務(wu)、技術人員無(wu)犯(fan)罪記錄；

（四(si)）產品研制、生產單位聲明沒有故意留有或者設(she)置漏洞、后門、木馬等程序和功能；

（五）對(dui)國(guo)家安全、社會秩序、公共(gong)利益(yi)不構成危害。

第十九條 符(fu)合第十八(ba)條(tiao)規定的安(an)全(quan)專用產(chan)品和生產(chan)單位應當到省公安(an)廳公共信(xin)息網絡(luo)安(an)全(quan)監察部門(men)備案。

第二十條 為(wei)加強安全服(fu)務(wu)(wu)機構的指導(dao)，推動(dong)安全服(fu)務(wu)(wu)質量和技(ji)術水平的提高，廣東省對從事(shi)計(ji)算機信息系統安全設計(ji)、建設、檢(jian)測、評估等安全服(fu)務(wu)(wu)的機構，根(gen)據其注(zhu)冊資本、服(fu)務(wu)(wu)業績、技(ji)術力量、組織管理(li)情況實(shi)行分級(ji)指導(dao)。

第五章 安全等級測評

第二十一條 第二級以上的計算機(ji)(ji)(ji)信(xin)息系(xi)統(tong)(tong)的安(an)全(quan)測評應(ying)當選(xuan)擇(ze)符合下列條件的計算機(ji)(ji)(ji)信(xin)息系(xi)統(tong)(tong)安(an)全(quan)等級測評機(ji)(ji)(ji)構(gou)（簡(jian)稱測評機(ji)(ji)(ji)構(gou)）承擔(dan)：

（一(yi)）在中華人(ren)民共和國境內注冊成立（港澳臺地區除外），具有相(xiang)應經營范圍的營業執照，注冊資本100萬元(yuan)以上(shang)；

（二）由中國公民(min)投資(zi)(zi)、中國法人投資(zi)(zi)或(huo)者國家投資(zi)(zi)的企事業單(dan)位（港澳(ao)臺地區除外(wai)）；

（三）近3年完成(cheng)的測評項目總值150萬元以(yi)上(shang)；

（四）具有計算機安全或相關專(zhuan)業資格證書的專(zhuan)業技(ji)術人員不(bu)少于20人，其中大(da)學本科以上學歷的人員不(bu)少于15人；

（五）管理(li)人員應(ying)當具有3年以上從事計算(suan)(suan)機信息(xi)系(xi)統安全技術(shu)領(ling)域企(qi)業(ye)管理(li)工(gong)作(zuo)經歷，技術(shu)負(fu)責(ze)人已獲得計算(suan)(suan)機信息(xi)系(xi)統安全技術(shu)相關專(zhuan)業(ye)的(de)高級職稱(cheng)，從事安全測評工(gong)作(zuo)不少于(yu)3年，無(wu)犯罪記錄(lu)；

（六）工作人員僅限于中(zhong)國公民，法人及主要業務、技(ji)術人員無犯罪記錄；

（七）具有與所承擔項目(mu)適應的(de)技術裝備；

（八）具有完(wan)備的(de)保密管理(li)、項(xiang)目管理(li)、質量管理(li)、人員管理(li)和培(pei)訓(xun)教育(yu)等安(an)全管理(li)制度(du)；

（九）對國(guo)家安全、社會秩(zhi)序、公共利益不構成威(wei)脅。

第二十二條 廣(guang)東省對(dui)測評機構(gou)實施備(bei)案(an)制(zhi)度。符合第二十(shi)一條規定的(de)條件，承擔(dan)第二級(ji)以上(shang)的(de)計算機信息系統測評工作(zuo)的(de)機構(gou)應當到省公(gong)安廳公(gong)共信息網絡(luo)安全監察(cha)部門(men)備(bei)案(an)。

第二十三條 省公安廳公共信(xin)息網(wang)絡安全監察部門對已(yi)備案的測評機構進行公布。

第二十四條 測評機構應當(dang)履(lv)行下列義務：

（一）遵守國家有關(guan)法(fa)律法(fa)規和技術標準，提供安(an)全、客觀、公正的(de)檢(jian)測評估服(fu)務(wu)，保證測評的(de)質量和效果(guo)；

（二）保守(shou)在(zai)測評活動(dong)中(zhong)知悉的國家(jia)秘密、商業秘密和個人(ren)隱(yin)私，防范測評風險；

（三(san)）對測評人(ren)員進行(xing)安(an)全(quan)保(bao)(bao)密(mi)教育，與其簽訂安(an)全(quan)保(bao)(bao)密(mi)責任(ren)(ren)書，規(gui)定(ding)應當履行(xing)的安(an)全(quan)保(bao)(bao)密(mi)義務(wu)和承擔的法律責任(ren)(ren)，并負責檢查落實(shi)。

第二十五條 第二級以上的(de)計算機信息系統建設(she)完(wan)成(cheng)后，使(shi)用(yong)單位應當(dang)委托符合規定的(de)測(ce)評機構(gou)安全(quan)測(ce)評合格方(fang)可投入使(shi)用(yong)。測(ce)評活動應當(dang)接受公安機關(guan)公共信息網絡安全(quan)監察部門(men)的(de)監督。

第二十六條 計算機(ji)信息(xi)系統(tong)運(yun)營、使(shi)用單位委托安全(quan)測評機(ji)構(gou)測評，應(ying)當提(ti)交下列資料：

（一）安(an)全測(ce)評委托(tuo)書(shu)；

（二）計算機(ji)信息(xi)系(xi)(xi)統(tong)應用需求、系(xi)(xi)統(tong)結(jie)構拓撲(pu)及說明(ming)、系(xi)(xi)統(tong)安(an)全組織結(jie)構和(he)管理(li)制度、安(an)全保護設施(shi)設計實(shi)施(shi)方案或者改建實(shi)施(shi)方案、系(xi)(xi)統(tong)軟(ruan)件硬件和(he)信息(xi)安(an)全產(chan)品清單(dan)。

第二十七條 安全(quan)測(ce)評機構(gou)在收到委托材料后，應當與(yu)委托方協商(shang)制訂安全(quan)測(ce)評計(ji)劃，開展安全(quan)測(ce)評工作，并(bing)出(chu)具安全(quan)測(ce)評報告。

經測(ce)(ce)評，計算機信息系(xi)統(tong)安(an)全(quan)狀況未(wei)達到國(guo)家有關規定和標準的要求，委托(tuo)(tuo)單位應當根據測(ce)(ce)評報告的建(jian)議，完善計算機信息系(xi)統(tong)安(an)全(quan)建(jian)設(she)，并重新提出安(an)全(quan)測(ce)(ce)評委托(tuo)(tuo)。

測(ce)評機構對計(ji)(ji)算機信(xin)息(xi)(xi)系統(tong)進行使用前(qian)安全測(ce)評，應當預先報告(gao)地級以上市公安機關公共(gong)信(xin)息(xi)(xi)網(wang)絡(luo)安全監(jian)察(cha)部門。安全測(ce)評報告(gao)由計(ji)(ji)算機信(xin)息(xi)(xi)系統(tong)運(yun)營、使用單位報地級以上市公安機關公共(gong)信(xin)息(xi)(xi)網(wang)絡(luo)安全監(jian)察(cha)部門。

第二十八條 第(di)(di)三級(ji)計算機信(xin)息(xi)(xi)(xi)系統(tong)(tong)應當每年至少進行一(yi)次(ci)安全測(ce)評(ping)，第(di)(di)四級(ji)計算機信(xin)息(xi)(xi)(xi)系統(tong)(tong)應當每半年至少進行一(yi)次(ci)安全測(ce)評(ping)，第(di)(di)五級(ji)計算機信(xin)息(xi)(xi)(xi)系統(tong)(tong)應當依據特(te)殊安全要求進行安全測(ce)評(ping)。

第六章 應急處置

第二十九條 公安(an)(an)機(ji)關公共信(xin)息網絡安(an)(an)全監察部門與所在地安(an)(an)全服(fu)務機(ji)構(gou)、互聯網運營單位和(he)其他計算(suan)機(ji)信(xin)息系統運營、使用單位應(ying)當建立聯防機(ji)制，依法及(ji)時(shi)查(cha)處(chu)通過計算(suan)機(ji)信(xin)息系統進行(xing)的違法犯罪(zui)行(xing)為，組織處(chu)置重大突發事件。

第三十條 對計算機信息系(xi)統中(zhong)發生(sheng)的案件和重大安(an)全(quan)事故，計算機信息系(xi)統的運營、使(shi)用單位應當在二十(shi)四小時內報告縣級(ji)以上人民政府(fu)公安(an)機關(guan)公共信息網絡安(an)全(quan)監察部門，并保留有(you)關(guan)原始記(ji)錄(lu)。

第三十一條 第二級以(yi)上的計算機信息系統運營、使(shi)用單位應當制定重大突發事件(jian)應急處置預案并定期實施演練。

第三十二條 計算機信息(xi)系(xi)統發(fa)生重大(da)突(tu)發(fa)事件，有關(guan)單位應(ying)當按照應(ying)急(ji)處置(zhi)預(yu)案的(de)要求采取相應(ying)的(de)處置(zhi)措施，并(bing)服從公安機關(guan)和國家指定的(de)專門(men)部門(men)的(de)調度(du)。

第三十三條 地級市以上人民政府(fu)公安(an)機(ji)關(guan)公共信(xin)息網絡安(an)全監(jian)察部門經本機(ji)關(guan)主管(guan)領(ling)導批準，為保護計(ji)算機(ji)信(xin)息系統安(an)全，在發生重大(da)突發事(shi)件(jian)，危(wei)及國家安(an)全、公共安(an)全及社(she)會穩(wen)定的緊急(ji)情(qing)況下，可以采(cai)取二十四小(xiao)時內(nei)暫時停機(ji)、暫停聯(lian)網、備份(fen)數據等措(cuo)施。

第七章 安全培訓

第三十四條 省公(gong)安(an)廳(ting)、人(ren)事廳(ting)聯合成立的省信息(xi)(xi)(xi)網(wang)絡安(an)全專(zhuan)(zhuan)業(ye)技(ji)術人(ren)員繼續教育(yu)工作(zuo)領導(dao)小(xiao)組，負責(ze)全省信息(xi)(xi)(xi)網(wang)絡安(an)全專(zhuan)(zhuan)業(ye)技(ji)術人(ren)員繼續教育(yu)工作(zuo)的組織和(he)領導(dao)。下設省信息(xi)(xi)(xi)網(wang)絡安(an)全專(zhuan)(zhuan)業(ye)技(ji)術人(ren)員繼續教育(yu)工作(zuo)辦公(gong)室，具體負責(ze)日常管理(li)工作(zuo)。

第三十五條 下列人(ren)(ren)員(yuan)(yuan)應當參加信息(xi)(xi)網(wang)絡安全專業(ye)技(ji)術人(ren)(ren)員(yuan)(yuan)繼(ji)續教育(yu)，取得省信息(xi)(xi)網(wang)絡安全專業(ye)技(ji)術人(ren)(ren)員(yuan)(yuan)繼(ji)續教育(yu)工作辦(ban)公室(shi)頒發的信息(xi)(xi)網(wang)絡安全專業(ye)技(ji)術人(ren)(ren)員(yuan)(yuan)繼(ji)續教育(yu)合格(ge)證書，持證上崗(gang)：

（一(yi)）計算機信息系統運營(ying)、使(shi)用單位信息安全管理責任人、信息審查(cha)員(yuan)；

（二）互聯網(wang)接(jie)入服務(wu)、數據(ju)中(zhong)心服務(wu)、信息服務(wu)、上網(wang)服務(wu)提(ti)供單(dan)位(wei)安全管理員、專業技術人(ren)員；

（三）安全專(zhuan)用產品生(sheng)產單位專(zhuan)業(ye)技(ji)術人員；

（四）安全(quan)服(fu)務(wu)(wu)機(ji)構專(zhuan)業(ye)技(ji)術人員、安全(quan)服(fu)務(wu)(wu)管理人員；

（五）其他從(cong)事計算(suan)機信息系統安全保護工作的人員。

第三十六條 信息網絡安全(quan)專(zhuan)(zhuan)業(ye)技(ji)術人(ren)員(yuan)繼續教(jiao)育由省信息網絡安全(quan)專(zhuan)(zhuan)業(ye)技(ji)術人(ren)員(yuan)繼續教(jiao)育工(gong)作辦公室(shi)授(shou)權的施教(jiao)機(ji)構負責(ze)實(shi)施。施教(jiao)機(ji)構實(shi)行統籌規(gui)劃。

第三十七條 信息網絡安全專業技術人員(yuan)繼續教育培訓和考試按照(zhao)有關規定進行(xing)，實行(xing)統(tong)(tong)一教學大(da)綱(gang)，統(tong)(tong)一教材，統(tong)(tong)一考試，統(tong)(tong)一發(fa)證。

考試(shi)合(he)格的，由省信息(xi)網絡(luo)安全專業(ye)技(ji)術人員繼(ji)續教育工(gong)作(zuo)辦公室(shi)發給(gei)信息(xi)網絡(luo)安全專業(ye)技(ji)術人員繼(ji)續教育證(zheng)書。

第八章 法律責任

第三十八條 違反(fan)本辦法(fa)的(de)規(gui)(gui)定，依照(zhao)有關(guan)法(fa)律、法(fa)規(gui)(gui)和規(gui)(gui)章處罰。

第九章 附則

第三十九條 本細則下列用語的含義：實體安全，指保護計算機信息系統(tong)的環(huan)境(jing)，計算機設備、設施（含網絡）以及其它媒體免遭(zao)地震、水災、火災、雷電、有害(hai)氣體和其它環(huan)境(jing)事(shi)故（如電磁污染等）破壞。

運行安全(quan)，指(zhi)保護(hu)計算機信息系統(tong)的(de)信息處(chu)理(li)過程順利進行。

信(xin)息(xi)安全，指(zhi)保障信(xin)息(xi)的完整(zheng)性(xing)、保密性(xing)、可(ke)用性(xing)和可(ke)控(kong)性(xing)。

內容安(an)全，指確保計算機信(xin)息系統中傳輸的信(xin)息所承載(zai)的內容的合法(fa)性。

安全（漏(lou)洞）檢測，指利用計(ji)算機(ji)技術手段掃描(miao)、探(tan)測計(ji)算機(ji)信息系統安全漏(lou)洞。

第四十條 本辦法規定的“以(yi)上(shang)”含本數。

第四十一條 本(ben)辦法(fa)規定(ding)的有關表格和證書由省公安廳制(zhi)定(ding)式樣，統一監制(zhi)。

第四十二條 本辦法由省公安廳(ting)負責解釋。

第四十三條 本辦法自2008年12月(yue)1日(ri)起施行。